OpenAI
Den här sidan har maskinöversatts. Visa den ursprungliga engelska artikeln.

FAQ om felsökning vid EKM-onboarding

Vanliga EKM-onboardingfel och hur du löser dem för AWS, GCP och Azure

Uppdaterades: 12 days ago

AWS

Inte behörig att utföra: sts:AssumeRole

Användare: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service har inte behörighet att utföra: sts:AssumeRole på resursen: arn:aws:iam::xxxxx:role/xxxxxx

Verifiera principal och ExternalId i din förtroendepolicy

Kontrollera att du har följt det här avsnittet i dokumentationen, inklusive BÅDE att identifiera OpenAI:s principal och konfigurera ett sts:ExternalId

Om du redan har lagt till ett sts:ExternalId, kontrollera att det är samma OpenAI-organisations-ID som du tillämpar EKM på, inte en annan organisation, till exempel en personlig organisation.

Verifiera förtroendepolicyns koppling till roll-ARN

Kontrollera att din förtroendepolicy har sparats korrekt för den roll-ARN du har angett

Kontrollera även att du har angett rätt roll-ARN. Om ditt ARN är felstavat och inte finns får vi samma fel som om rollen finns men nekar behörigheter.

AWS IAM role details with Trust relationships tab open and the role ARN highlighted

Inte behörig att utföra: kms:Encrypt på resursen

Användare: xxxxx har inte behörighet att utföra: kms:Encrypt på resursen

Kontrollera att din IAM-policy ger kms:Encrypt och kms:Decrypt till OpenAI:s roll.

Om du även har lagt till en nyckelpolicy, kontrollera att den också ger kms:Encrypt och kms:Decrypt till OpenAI:s roll.

GCP

Misslyckades med att hämta GCP STS-Token för målgruppen

Misslyckades med att hämta GCP STS-Token för målgruppen //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Ogiltigt värde för \"audience\". Värdet ska vara det fullständiga resursnamnet för identitetsprovidern. Se https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token för listan över möjliga format.

GCP förväntar sig en målgrupp med formatet

iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx

Kontrollera att du har angett rätt parametrar när du registrerar din nyckel hos OpenAI med Externa nycklar i Management API

  • Kontrollera att workload_identity_project_number är ditt 12-siffriga GCP-projektnummer

  • Kontrollera att workload_identity_pool_id är korrekt

  • Kontrollera att workload_identity_provider_id är korrekt

Målgruppen i ID-Token matchar inte den förväntade målgruppen

Misslyckades med att hämta GCP STS-Token för målgruppen //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Målgruppen i ID-Token [xxxxx] matchar inte den förväntade målgruppen xxxxxxx.'}

Kontrollera att fältet audience som du anger när du registrerar din konfiguration hos OpenAI (Externa nycklar i Management API ) finns bland tillåtna målgrupper för din workload identity provider. Vi rekommenderar att du använder ditt OpenAI-organisations-ID.

Azure

Klientprogrammet saknar tjänsthuvudnamn

Klientprogrammet xxxxx saknar tjänsthuvudnamn i klientorganisationen xxxxx. Se instruktioner här: https://go.microsoft.com/fwlink/?linkid=2225119

Kontrollera att du noggrant har följt stegen för att skapa tjänsthuvudnamnet enligt instruktionerna för OpenAI/Azure EKM-integrationen.

Anroparen har inte behörighet att utföra åtgärden på resursen

Anroparen har inte behörighet att utföra åtgärden på resursen. Om rolltilldelningar, nekade tilldelningar eller rolldefinitioner nyligen har ändrats bör du räkna med propageringstid.

Samma fel kan dyka upp av flera orsaker

  • Du angav fel nyckelnamn eller vault-URI, eller ett som inte finns

  • Du har inte skapat en roll med dessa dataåtgärder OCH tilldelat rollen till OpenAI:s tjänsthuvudnamn

    • Microsoft.KeyVault/vaults/keys/encrypt/action

    • Microsoft.KeyVault/vaults/keys/decrypt/action

Nyckelnamnet matchar inte mönstret

"Ogiltig 'key_name': strängen matchar inte mönstret. Förväntade en sträng som matchar mönstret '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."

Lägg till ditt OpenAI-organisations-ID som prefix till namnet på din Key Vault-nyckel.

Detta är den bästa praxis som säkerhetsteamet rekommenderar för att förhindra att din Key Vault-nyckel registreras av en annan användare. Vi validerar att organisations-ID:t matchar vid nyckelregistreringen och vid varje begäran till ditt Key Vault.

Var den här artikeln till hjälp?